

DIALOG(R)File 351:Derwent WPI  
(c) 2003 Thomson Derwent. All rts. reserv.

010206717 \*\*Image available\*\*

WPI Acc No: 1995-107971/199515

XRPX Acc No: N95-085357

Monitoring programming controlled system using watchdog - using pair of watchdogs which receive pulses alternately from microprocessor for self-testing

Patent Assignee: SIEMENS AG (SIEI )

Inventor: MEYER A

Number of Countries: 017 Number of Patents: 002

Patent Family:

| Patent No  | Kind | Date     | Applicat No | Kind | Date     | Week     |
|------------|------|----------|-------------|------|----------|----------|
| DE 4330940 | A1   | 19950309 | DE 4330940  | A    | 19930908 | 199515 B |
| WO 9507508 | A1   | 19950316 | WO 94DE1084 | A    | 19940906 | 199516   |

Priority Applications (No Type Date): DE 4330940 A 19930908

Cited Patents: DE 3243760; DE 3342209

Patent Details:

| Patent No | Kind | Lan Pg | Main IPC | Filing Notes |
|-----------|------|--------|----------|--------------|
|-----------|------|--------|----------|--------------|

|            |    |   |             |  |
|------------|----|---|-------------|--|
| DE 4330940 | A1 | 6 | G05B-023/02 |  |
|------------|----|---|-------------|--|

|            |    |   |    |             |
|------------|----|---|----|-------------|
| WO 9507508 | A1 | G | 11 | G06F-011/00 |
|------------|----|---|----|-------------|

Designated States (National): US

Designated States (Regional): AT BE CH DE DK ES FR GB GR IE IT LU MC NL

PT SE

Abstract (Basic): DE 4330940 A

A program-controlled system has a circuit with two watchdog units (A,B) with program control signals generated (1, 2) by a microprocessor (3).

For normal operation of the processor, the signal outputs are regularly-spaced pulses. The watchdogs react to any variation in this condition and generate resets (6, 7). The resets are combined by an AND-gate to produce a single reset (9). The outputs are also latched into D-type flip-flops (12,14). Test signals can also be introduced to evaluate the operation of the watchdog.

ADVANTAGE - Allows watchdog to be tested.

Dwg.1/2

Title Terms: MONITOR; PROGRAM; CONTROL; SYSTEM; WATCHDOG; PAIR; RECEIVE; PULSE; ALTERNATE; MICROPROCESSOR; SELF; TEST

Derwent Class: T01; T06

International Patent Class (Main): G05B-023/02

International Patent Class (Additional): G05B-019/00; G06F-011/22; G06F-011/30

File Segment: EPI

Manual Codes (EPI/S-X): T01-G05A; T06-A08

?

⑯ Aktenzeichen: P 43 30 940.2  
⑯ Anmeldetag: 8. 9. 93  
⑯ Offenlegungstag: 9. 3. 95

⑯ Anmelder:  
Siemens AG, 80333 München, DE

⑯ Erfinder:  
Meyer, Alejandro, Dipl.-Ing., 10997 Berlin, DE

Prüfungsantrag gem. § 44 PatG ist gestellt

⑯ Verfahren zum Überwachen einer programmgesteuerten Schaltung

⑯ Die Schaltung (3) gibt bei störungsfreiem Betrieb programmgemäß ein Programmkontrollsignal (WDATRIG) ab, das einer Überwachungseinheit (A) zugeführt wird, die bei gestörtem Programmkontrollsignal ein auf die Schaltung (3) einwirkendes Signal (Reset) abgibt. Um die Funktionsfähigkeit der Überwachungseinheit (A) prüfen zu können, ist eine weitere Überwachungseinheit (B) vorgesehen. Die Überwachungseinheiten (A, B) werden gegenseitig alternierend mit dem Programmkontrollsignal (WDATRIG, WDBTRIG) und einem Störungstestsignal (WDBTRIG', WDATRIG') beaufschlagt und werden damit alternierend zur Schaltungsüberwachung und zur Selbstprüfung herangezogen.



## Beschreibung

Die Erfindung betrifft ein Verfahren zum Überwachen einer programmgesteuerten Schaltung, die bei störungsfreiem Betrieb programmgemäß ein Programmkontrollsignal abgibt, — bei dem das Programmkontrollsignal dem Eingang einer Überwachungseinheit zugeführt wird, die bei nicht ordnungsgemäßem Programmkontrollsignal ein auf die Schaltung einwirkendes Signal abgibt.

Aus der DE-A1-32 40 704 ist ein derartiges Verfahren zum Überwachen einer programmgesteuerten Schaltung (elektronischer Rechenbaustein) bekannt. Zur Funktionsüberwachung gibt die programmgesteuerte Schaltung nach dem Einschalten der Versorgungsspannung und nach Erreichen eines definierten Betriebszustandes ein Programmkontrollsignal ab, das aus diskreten, in einem vorgegebenen Rhythmus und in bestimmten Zeitfenstern auftretenden Einzelimpulsen besteht. Bei gestörter Funktion der Schaltung tritt ein gestörtes, nicht ordnungsgemäßes Programmkontrollsignal auf, bei dem die Einzelimpulse z. B. in unkorrekten zeitlichen Abständen auftreten und/oder gänzlich unterbleiben. Das gestörte Programmkontrollsignal wird von einer Überwachungseinheit (Watch-Dog) erkannt, die ein auf die Schaltung zurückwirkendes Signal erzeugt. Das Signal kann einen Reset- oder Interrupt-Eingang der programmgesteuerten Schaltung beaufschlagen und so als Reset-Signal wirken, das den momentanen Programmablauf stoppt und erneuten Programmstart vom Programmbeginn aus bewirkt.

Die Überwachungseinheit (Watch-Dog) kann nur beim Einschalten und während gezielt vorzunehmender Schaltungstests überprüft werden. Eine fehlerhafte Funktion der Überwachungseinheit während des Betriebes der programmgesteuerten Schaltung (Programmlauf) kann nicht erkannt werden. Es besteht daher ein Risiko, daß im Störfall (z. B. durch Ausfall der Versorgungsspannung oder bei endlosen Programmschleifen) die programmgesteuerte Schaltung nicht an den Programmbeginn zurückgesetzt wird.

Die Aufgabe der Erfindung besteht daher in der Schaffung eines Verfahrens, bei dem ohne Beeinträchtigung der Funktionsüberwachung der programmgesteuerten Schaltung auch während des Programmlaufs eine Überprüfung der Überwachungseinheit möglich ist.

Diese Aufgabe wird bei dem Verfahren der eingangs genannten Art erfindungsgemäß dadurch gelöst,

- daß der Überwachungseinheit alternierend mit dem Programmkontrollsignal ein Störungstestsignal zugeführt wird, das einem nicht ordnungsgemäßem Programmkontrollsignal entspricht,
- daß dem Eingang einer weiteren Überwachungseinheit gegensinnig alternierend zu der einen Überwachungseinheit das Störungstestsignal und das Programmkontrollsignal zugeführt wird und
- daß die jeweils mit dem Störungstestsignal beaufschlagte Überwachungseinheit auf die Abgabe eines Teststeuersignals aufgrund des Störungstestsignals überwacht wird, während die Überwachung der Schaltung von der jeweils anderen mit dem Programmkontrollsignal beaufschlagten Überwachungseinheit übernommen wird.

Bei dem erfindungsgemäßem Verfahren wird alternierend jeweils eine Überwachungseinheit überprüft,

während die andere Überwachungseinheit auf ein nicht ordnungsgemäßes Programmkontrollsignal mit einem auf die Schaltung einwirkenden Signal reagiert. Die durch die weitere Überwachungseinheit entstehende Redundanz vermindert nicht nur insgesamt die Gefahr eines Ausfalls der Schaltungsüberwachung, sondern erlaubt in vorteilhafter Weise auch eine fortlaufende Überprüfung der Überwachungseinheiten während des Programmlaufs bei gleichzeitiger Schaltungsüberwachung. Das erfindungsgemäße Verfahren erhöht dadurch wesentlich die Zuverlässigkeit der Schaltungsüberwachung.

Eine vorteilhafte Weiterbildung des erfindungsgemäßen Verfahrens besteht darin, daß von den Überwachungseinheiten auch dann ein Signal erzeugt wird, wenn die Versorgungsspannung der Überwachungseinheiten und/oder der Schaltung einen Schwellwert unterschreitet. Durch die fortwährende Überprüfung der Funktion der Überwachungseinheiten ist so auch eine äußerst zuverlässige Kontrolle der Versorgungsspannung gewährleistet. Vorzugsweise ist der Schwellwert entsprechend der für den ordnungsgemäßen Betrieb der Schaltung und/oder der Überwachungseinheiten notwendigen Spannung einstellbar.

Eine zur Untersuchung und Auswertung des Ansprechverhaltens der Überwachungseinheiten bevorzugte Ausgestaltung der Erfindung sieht vor, daß die Zeitspanne zwischen dem Anlegen des Störungstestsignals und der Abgabe des Teststeuersignals bestimmt wird.

Die Erfindung wird beispielhaft nachfolgend anhand einer Zeichnung näher erläutert; es zeigen:

Fig. 1 ein Blockschaltbild zur Überwachung einer programmgesteuerten Schaltung und

Fig. 2 ein Struktogramm zur Erläuterung des Verfahrensablaufs.

Die in Fig. 1 gezeigte Schaltung zur Durchführung des erfindungsgemäßen Verfahrens enthält zwei Überwachungseinheiten (Watch-Dog) A, B, deren Eingänge 1, 2 jeweils mit einem Programmkontrollsignal beaufschlagbar sind. Das Programmkontrollsignal wird von einer programmgesteuerten Schaltung 3 in Form eines Mikroprozessors erzeugt und ist für beide Überwachungseinheiten A, B identisch. Es wird alternierend an Datenausgängen 4, 5 des Mikroprozessors 3 abgegeben und ist nur zur vereinfachten Zuordnung zu den Überwachungseinheiten A, B unterschiedlich (mit WDATIG, WDBTRIG) bezeichnet. Bei störungsfreiem Programmlauf erzeugt der Mikroprozessor 3 programmgemäß diskrete Einzelimpulse in vorgegebenen zeitlichen Abständen. Die Überwachungseinheiten sind auf das ordnungsgemäßes Programmkontrollsignal abgestimmt und geben nur bei Abweichungen (z. B. Ausbleiben oder Frequenz erhöhung der Einzelimpulse) von diesem und beim Absinken der Versorgungsspannung unter einen vorgegebenen Schwellwert an ihren Ausgängen 6, 7 ein Signal RESETA, RESETB bzw. (im nachfolgend beschriebenen Testbetrieb) Teststeuersignale RESETA', RESETB' ab. Aufbau und Funktionsweise der Überwachungseinheiten A, B entsprechen grundsätzlich der aus der DE-A1-32 40 704 bekannten Überwachungseinheit.

Die Signale RESETA, RESETB bzw. RESETA', RESETB' beaufschlagen die Eingänge eines UND-Gliedes 8, an dessen Ausgang 9 nur dann ein Signal RESET (Steuersignal) anliegt, wenn eingeschaltig die Signale RESETA, RESETB' oder RESETA', RESETB anliegen. Das Steuersignal RESET wird auf einen Rücksetzein-

gang 10 des Mikroprozessors 3 geführt und dient als Rücksetzsignal, das einen Programm-Abbruch und Neustart bewirkt. Die Signale RESETA, RESETB werden außerdem einem ersten 12 und zweiten Flip-Flop-Baustein 14 eingesangsseitig zugeführt; deren Rücksetzeingänge R sind mit dem Programmkontrollsignal WDATTRIG, WDBTRIG beaufschlagbar. An den Flip-Flop-Bausteinen 12, 14 liegt ausgangsseitig jeweils das Signal RESETA, RESETB bzw. RESETA', RESETB' an, das von Dateneingängen 16, 17 des Mikroprozessors 3 abfragbar ist.

Zur Überprüfung der Überwachungseinheit B wird wie folgt verfahren: Das Programmkontrollsignal WDATTRIG liegt am Eingang 1 der einen Überwachungseinheit A an; bei ordnungsgemäßem Programmkontrollsignal fehlt es am Signal RESETA, so daß kein Steuersignal RESET auftreten kann. In dieser Konstellation wird die Funktionsüberwachung des Mikroprozessors 3 also von der Überwachungseinheit A übernommen, während die andere Überwachungseinheit B durch den Mikroprozessor 3 geprüft wird. Dazu wird der Eingang 2 der Überwachungseinheit B mit einem Störungstestsignal WDBTRIC' beaufschlagt, das einem nicht ordnungsgemäßen (z. B. vollständig fehlenden) Programmkontrollsignal entspricht. Die Abgabe des von der Überwachungseinheit B erzeugten Teststeuersignals RESETB' als Reaktion auf das Störungstestsignals WDBTRIC' an den Flip-Flop-Baustein 14 wird von dem Dateneingang 17 des Mikroprozessors 3 überwacht. Tritt das Teststeuersignal RESETB' korrekt und rechtzeitig auf, erkennt der Mikroprozessor 3 die Überwachungseinheit B als funktionsfähig.

Ist in dieser Konstellation dagegen das Programmkontrollsignal WDATTRIG nicht ordnungsgemäß, gibt auch die Überwachungseinheit A ein Signal RESETA ab, so daß das Steuersignal RESET am Ausgang des UND-Gliedes 8 auftritt. In dem Fall, daß die Überwachungseinheit B defekt ist und kein Teststeuersignal RESETB' abgibt, tritt zwar kein Steuersignal RESET auf; der Mikroprozessor 3 erkennt aber in diesem Fall den 40 Funktionsfehler und generiert ein Warnsignal.

Darauf folgend werden die Überwachungseinheiten A, B alternierend gegensinnig beaufschlagt, so daß nun entsprechend die Überwachungseinheit B zur Signalerzeugung im Störungsfall und damit zur Überwachung des Mikroprozessors 3 mit dem Programmkontrollsignal WDBTRIG beaufschlagt wird, während die Überwachungseinheit A mit dem Störungstestsignal WDATTRIC' beaufschlagt und die entsprechende Abgabe des Teststeuersignals RESETA' vom Mikroprozessor 3 50 über dessen Dateneingang 16 geprüft wird. Im nächsten Zyklus erfolgt wieder eine gegensinnig alternierende Beaufschlagung der Überwachungseinheiten A, B, die der ersten beschriebene Konstellation entspricht.

Fig. 2 beschreibt detailliert den Verfahrensablauf. Zu Beginn (Einschalten des Geräts) wird bedarfswise eine Initialisierung durchgeführt, wobei vorzugsweise das Programmkontrollsignal WDATTRIG, WDBTRIG gleichzeitig an die Eingänge 1, 2 beider Überwachungseinheiten A, B (Fig. 1) angelegt wird (Verfahrenszweig 60 20 in Fig. 2).

Nach Initialisierung wird zur Überprüfung der Überwachungseinheit (Watch-dog) A im Verfahrenszweig 21 das Programmkontrollsignal WDBTRIG (Verfahrensschritt: trigB) ausgegeben. Anschließend wird geprüft, ob das Störungstestsignal (scheinbar gestörtes Programmkontrollsignal) dazu geführt hat, daß die Überwachungseinheit A nach Ablauf einer vorgegebenen

Reaktionszeit das Teststeuersignal RESETA' ausgibt. Im Hinblick auf die in den Überwachungseinheiten eingesetzten, retriggerbaren Zeitglieder ist dieser Verfahrensschritt mit "A abgelaufen" bezeichnet. Die bis zur

5 Ausgabe des Teststeuersignals RESETA' verstrechende Zeit wird von einem Inkremental-Zähler (Verfahrensschritt: "Zähler inkrementieren") angegeben, der bis zu einem zulässigen Grenzwert hochgezählt wird (Verfahrensschritt: "Grenzwert vom Zähler erreicht?"). Ist der Zählergrenzwert erreicht, ohne daß ein Teststeuersignal der zu überprüfenden Überwachungseinheit von dem Mikroprozessor erkannt worden ist, deutet dies auf einen Defekt der Überwachungseinheit hin. Bei rechtzeitiger Erzeugung des Teststeuersignals wird anschließend der Zähler zurückgesetzt. Die Schaltung (Mikroprozessor) 3 wird derweil von der Überwachungseinheit B überwacht, die bei gestörtem Programmkontrollsignal WDBTRIG das Signal RESETB erzeugt, das über das UND-Glied 8 (Fig. 1) zusammen mit dem bei korrekt arbeitender Überwachungseinheit A vorliegenden Teststeuersignal RESETB' das (Rücksetz-) Steuersignal RESET erzeugt.

In entsprechender Weise mit umgekehrter Beaufschlagung der Überwachungseinheiten wird die andere Überwachungseinheit B gemäß Verfahrenszweig 22 geprüft (wenn die Abfrage "Watch-Dog A überprüfen" mit Nein (N) beantwortet wird). Die verbleibende Überwachungseinheit A wird dazu entsprechend mit dem Programmkontrollsignal beaufschlagt (trig A) und die Überwachungseinheit B wie vorstehend analog beschrieben geprüft.

Das erfindungsgemäße Verfahren erlaubt mit geringem schaltungstechnischem Aufwand eine wesentliche Erhöhung der Zuverlässigkeit einer Funktionsüberwachung einer programmgesteuerten Schaltung, indem die beiden Überwachungseinheiten gegensinnig alternierend zur Überwachung der Schaltung und zum Selbsttest herangezogen werden.

#### Patentansprüche

1. Verfahren zum Überwachen einer programmgesteuerten Schaltung (3), die bei störungsfreiem Betrieb programmgemäß ein Programmkontrollsignal (WDATTRIG) abgibt,

— bei dem das Programmkontrollsignal (WDATTRIG) dem Eingang (1) einer Überwachungseinheit (A) zugeführt wird, die bei nicht ordnungsgemäßem Programmkontrollsignal ein auf die Schaltung (3) einwirkendes Signal (RESETA) abgibt, dadurch gekennzeichnet,

— daß der Überwachungseinheit (A) alternierend mit dem Programmkontrollsignal (WDATTRIG) ein Störungstestsignal (WDBTRIG) zugeführt wird, das einem nicht ordnungsgemäßem Programmkontrollsignal entspricht,

— daß dem Eingang (2) einer weiteren Überwachungseinheit (B) gegensinnig alternierend zu der einen Überwachungseinheit (A) das Störungstestsignal (WDBTRIG') und das Programmkontrollsignal (WDBTRIG) zugeführt wird und

— daß die jeweils mit dem Störungstestsignal (WDBTRIG') beaufschlagte Überwachungseinheit (B) auf die Abgabe eines Teststeuersignals (RESETB') aufgrund des Störungstestsignals (WDBTRIG') überwacht wird, während die Überwachung der Schaltung (3) von der

jeweils anderen mit dem Programmkontrollsignal (WDATRIG) beaufschlagten Überwachungseinheit (A) übernommen wird.

2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß von den Überwachungseinheiten (A, 5 B) auch dann ein Signal (RESETA, RESETB) abgegeben wird, wenn die Versorgungsspannung der Überwachungseinheiten A, B und/oder der Schaltung 3 einen Schwellwert unterschreitet.
3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, daß die Zeitspanne zwischen dem Anlegen des Störungstestsignals (WDATRIG', WDBTRIG') und der Abgabe des Teststeuersignals (RESETA', RESETB') bestimmt wird.

15

Hierzu 2 Seite(n) Zeichnungen

20

25

30

35

40

45

50

55

60

65



FIG 1



FIG 2